|
本研究では、サブネットワーク上に学習機能を有する不正アクセス検知システムを提案し、NIDSとの連携により、IPv6にも対応した、未知の不正アクセス検出機構を含む次世代学習駆動型の不正アクセス検知システムを開発することを目的とする。
平成15年度では学習システムを開発し、さらに、学習システムとサブネットIDS、メインIDS間の通信ソフトウェアを開発した。具体的内容は以下に示す。
●ネットワークプローブを50台程度のネットワークノードが接続されているLAN上に設置し、ネットワークトラヒックを観測するシステムを構築した。観測システム構築後、必要なデータをリモートから自由に設定し取得できることを確認した。
●主成分分析を用いた学習型不正アクセス検知システムを開発した。パソコン上に計算ライブラリを搭載するのに必要なソフトウェアを開発し、大規模なネットワークデータを実時間で主成分分析できるように最適化を行った。
●学習に用いるネットワークデータの種類を選別し、学習特徴量を決定した。具体的には不正アクセス発生時によく観測されるデータを選び、その特性を解析し、不正アクセス検出のための汎用的な特徴量を抽出した。さらに、これらのデータ間の相関を計算し、相関が1あるいは0に近いデータ同士を1種類だけ残し、残りを削除するようにした。
●ネットワークIDS(メインIDS)としてフリーソフトのSNORTを立ち上げた。また、メインIDSとサブネットIDS、および学習システムとの間の通信ソフトウェアを開発し、不正アクセスの関連情報を相互に実時間で情報交換を行うシステムを確立した。
|
